更新时间:2022-07-22
聚合模式
根据上述条件检索可以看到具体的安全告警列表,每一个安全事件的维度包括:威胁描述、攻击方向、风险资产数、威胁等级、攻击阶段、检测引擎、威胁类型、最近发生时间、处置状态、操作等维度,如下图所示。
其中:
风险资产数:代表该安全告警关联的风险资产数量,在告警详情页面选择风险资产子页面可以查看到,如下图所示。
攻击方向:代表该安全告警数据流方向性,包括:无方向、外对内(比如外部发起的攻击)、内对内(比如横向)、内对外(比如恶意外联)等,如下图所示。
处置状态分为:未处置、处置中、挂起;
最近发生时间:代表该告警内部的所有风险资产关联的告警日志的最近一条的时间,如下图所示。
检测引擎:代表识别该告警通过的内置检测引擎名称。
处置状态:代表安全告警的处置状态,假如有多个风险资产,且所有风险资产全部为已处置的状态时该处会显示[已处置],如果存在有未处置的风险资产,该处会显示[未处置],如下图所示。
详情模式
详情模式下每条告警的属性包括:最近发生时间、威胁描述、威胁类型、攻击阶段、威胁等级、受害者IP、受害者所属、攻击者IP、攻击者所属、代理服务器、攻击结果、状态码、攻击次数、URL、威胁情报、设备来源、数据来源、处置状态、处置操作等,如下图所示。
其中,
威胁类型:告警所属的威胁子类;
威胁等级:包括高威胁、中威胁、低威胁;
受害者所属:受害者所在的资产分组名称;
攻击者所属:包括互联网区域或者内网某个资产分组,如下图所示。
代理服务器:记录代理场景的Cdn-Src-Ip、X-Forwarded-For、X-Real-IP和Clienttip字段信息,在有代理场景时确保在流量探针侧开启了源地址记录开关。
URL:告警详情中涉及的域名/URL信息;
数据来源:分为本平台或者级联环境中的下级平台;
设备来源:包括AF、EDR、以及探针等接入设备;
操作:分为手工处置和策略联动处置。
其中在上述所有属性中,可以对威胁类型、攻击阶段、威胁等级、受害者IP、受害者所属、攻击者IP、攻击者所属、结果、状态码、设备来源、处置状态这些属性,通过<>图标下钻子类查询,如下图所示。